人們對(duì)于VPN、云計(jì)算和網(wǎng)絡(luò)釣魚(yú)的一些誤解也出現(xiàn)在有關(guān)網(wǎng)絡(luò)安全和遠(yuǎn)程工作的誤區(qū)中，安全專家為此提供了如何保持安全性的建議。

[[326637]]

很容易忽略的安全風(fēng)險(xiǎn)之一是什么?就是認(rèn)為沒(méi)有風(fēng)險(xiǎn)。

當(dāng)涉及到工具、人員和流程時(shí)，保持安全性是正確的。當(dāng)人們認(rèn)為很少甚至不可能出差錯(cuò)時(shí)，那么其面臨的風(fēng)險(xiǎn)往往會(huì)擴(kuò)大。自滿情緒可能會(huì)導(dǎo)致這種心態(tài)，并且可能是一個(gè)不斷增長(zhǎng)的風(fēng)險(xiǎn)因素。而人們產(chǎn)生的誤解通常是對(duì)于安全過(guò)度自信的根源。人們可能以為自己知道一些東西，但是如果這些知識(shí)是不合時(shí)宜的或過(guò)時(shí)的呢?如果環(huán)境突然改變?cè)趺崔k?

由于冠狀病毒在全球各地傳播，很多人現(xiàn)在都不得不在家遠(yuǎn)程工作。對(duì)于許多組織來(lái)說(shuō)，最顯著的變化是其業(yè)務(wù)快速轉(zhuǎn)移到遠(yuǎn)程工作。而這產(chǎn)生了廣泛的影響，包括對(duì)組織安全狀況的影響，可能需要進(jìn)行一些調(diào)整。

以下列出針對(duì)員工在線遠(yuǎn)程工作在安全方面的一些常見(jiàn)誤解：

誤解1：Zoom是端到端加密的視頻會(huì)議平臺(tái)

首先，Zoom視頻會(huì)議平臺(tái)的安全性已經(jīng)引起了人們廣泛的關(guān)注。視頻會(huì)議平臺(tái)如今在全球各地的使用量呈急劇上升趨勢(shì)，這使其成為網(wǎng)絡(luò)攻擊者更具吸引力的目標(biāo)。有關(guān)Zoom的各種風(fēng)險(xiǎn)的頭條新聞很多，而Zoom公司也在致力于解決其中許多問(wèn)題。

正如最近在有關(guān)如何改善Zoom視頻會(huì)議安全的帖子中所述，組織需要評(píng)估自己的安全設(shè)置。但是問(wèn)題是：視頻會(huì)議尚未以故障安全的方式完全加密。Zoom公司宣布了其收購(gòu)初創(chuàng)廠商Keybase公司的意圖，以便為其產(chǎn)品添加端到端加密功能。Zoom公司還概述了一個(gè)為期90天的解決安全問(wèn)題的計(jì)劃。

NetEnrich公司網(wǎng)絡(luò)安全業(yè)務(wù)主管Vikram Chabra說(shuō)：“Zoom視頻會(huì)議平臺(tái)并不是端到端加密的，而Zoom可以在會(huì)議過(guò)程中使用它所持有的密鑰來(lái)解密數(shù)據(jù)。這或多或少取決于組織的風(fēng)險(xiǎn)承受能力、監(jiān)管需求和其他因素。”

誤解2：個(gè)人設(shè)備與公司設(shè)備一樣安全

企業(yè)、政府部門(mén)、教育機(jī)構(gòu)等很多組織的員工采用自帶設(shè)備(BYOD)遠(yuǎn)程工作，并且使用個(gè)人設(shè)備訪問(wèn)服務(wù)和數(shù)據(jù)的人數(shù)大量增加。其中一個(gè)原因是不得不采用個(gè)人設(shè)備。

而這并不是一個(gè)新問(wèn)題。組織需要采取措施，以確保遠(yuǎn)程工作的員工使用個(gè)人設(shè)備需要額外的安全保護(hù)，因?yàn)檫@些設(shè)備本身可能不如組織提供的硬件設(shè)備那樣安全。

Chabra說(shuō)：“組織必須啟用雙因素身份驗(yàn)證，并使用內(nèi)容過(guò)濾和身份識(shí)別與訪問(wèn)管理(IAM)解決方案。在為在家工作的員工創(chuàng)建新帳戶時(shí)，組織必須鼓勵(lì)使用強(qiáng)密碼，并遵守最低特權(quán)原則。”

這并不是說(shuō)不讓員工更頻繁地使用個(gè)人設(shè)備，而是更頻繁地使用這些設(shè)備訪問(wèn)組織的數(shù)據(jù)和服務(wù)可能面臨風(fēng)險(xiǎn)。

Accellion公司首席技術(shù)官Cliff White說(shuō)，“隨著越來(lái)越多的員工在家工作，對(duì)自帶設(shè)備(BYOD)和系統(tǒng)對(duì)內(nèi)容可用性的需求增加。”

這可能迫使組織IT領(lǐng)導(dǎo)者在確保訪問(wèn)業(yè)務(wù)連續(xù)性和安全性之間尋求一種平衡。過(guò)于廣泛地授予訪問(wèn)權(quán)限(為實(shí)現(xiàn)不受限制的業(yè)務(wù)運(yùn)營(yíng))可能會(huì)帶來(lái)不必要的風(fēng)險(xiǎn)。

White說(shuō)：“創(chuàng)建或處理敏感信息或IP的每個(gè)組織必須采取不同的預(yù)防措施，以確保其數(shù)據(jù)不會(huì)與未經(jīng)批準(zhǔn)或受到感染的端點(diǎn)共享或傳輸給未經(jīng)批準(zhǔn)或受感染的端點(diǎn)。這其中包括采用加密和雙因素身份驗(yàn)證之類的工具，還要采取精細(xì)的策略控制，例如基于角色的權(quán)限以及內(nèi)部和外部用戶的訪問(wèn)控制。”

誤解3：登錄到組織VPN會(huì)保證安全性

組織的筆記本電腦和其他設(shè)備可能已經(jīng)配備了VPN訪問(wèn)功能，這通常是一件好事。但是要記住，VPN連接不是靈丹妙藥。而且，如果員工一直在使用以前不曾使用的原有軟件，則可能需要重新訪問(wèn)該軟件以獲得安全性、許可、帶寬和其他配置。

Chabra說(shuō)：“未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可能會(huì)破壞易受攻擊的VPN服務(wù)器。”

在這種情況下，網(wǎng)絡(luò)攻擊者可能潛在地獲得對(duì)所有活躍用戶及其純文本憑據(jù)的訪問(wèn)權(quán)限。網(wǎng)絡(luò)攻擊者在成功連接到VPN服務(wù)器時(shí)，也有可能在每個(gè)VPN客戶端上執(zhí)行任意命令。

Chabra說(shuō)：“組織必須確保修補(bǔ)了VPN軟件并安裝了最新版本。他們還應(yīng)該確保有適當(dāng)?shù)某绦騺?lái)保持軟件的更新。”

這并不是說(shuō)員工并不能使用VPN。更確切地說(shuō)，需要確保它是最新的版本，并且已將其用于預(yù)期的用途。正如瞻博網(wǎng)絡(luò)公司全球安全策略總監(jiān)Laurence Pitt所說(shuō)的那樣，這通常意味著員工正在使用它來(lái)保護(hù)運(yùn)營(yíng)的業(yè)務(wù)，而不是針對(duì)所有在線活動(dòng)。

誤解4：運(yùn)行在云端可以保證安全性

從基礎(chǔ)設(shè)施到應(yīng)用程序的各個(gè)方面都依賴云計(jì)算服務(wù)的組織可能在連續(xù)性方面獲得先機(jī)。而基于云計(jì)算的電子郵件之類的服務(wù)通常是不需要通過(guò)VPN登錄的一個(gè)很好例子。

員工不要誤以為在云平臺(tái)運(yùn)行業(yè)務(wù)就會(huì)自動(dòng)確保安全。Fugue公司聯(lián)合創(chuàng)始人兼首席技術(shù)官 Josh Stella指出，由于組織的團(tuán)隊(duì)訪問(wèn)云計(jì)算環(huán)境的方式發(fā)生了重大變化，可能會(huì)使以往的安全狀況大打折扣。

Stella說(shuō)，“組織員工以前通過(guò)企業(yè)網(wǎng)絡(luò)訪問(wèn)云計(jì)算基礎(chǔ)設(shè)施，現(xiàn)在他們?cè)诩依锕ぷ?，這可能會(huì)面臨不習(xí)慣管理的新威脅。網(wǎng)絡(luò)攻擊者正在使用自動(dòng)化工具專門(mén)在互聯(lián)網(wǎng)上搜索虛擬服務(wù)器和網(wǎng)絡(luò)，并且在適應(yīng)這些新的遠(yuǎn)程訪問(wèn)模式時(shí)，身份和訪問(wèn)管理服務(wù)沒(méi)有得到安全配置。組織的員工可能經(jīng)常更改云計(jì)算資源配置以完成他們的工作。”

可見(jiàn)性仍然是安全性和其他原因的主要需求，特別是在分布式環(huán)境中。

Stella建議說(shuō)：“組織需要設(shè)置通知，以便知道何時(shí)對(duì)安全關(guān)鍵資源(如IAM、安全組、對(duì)象存儲(chǔ)服務(wù)和數(shù)據(jù)庫(kù)服務(wù))進(jìn)行配置更改。在出現(xiàn)危險(xiǎn)的錯(cuò)誤配置時(shí)，在網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)并利用它們之前，快速識(shí)別并糾正它們。”

誤解5：?jiǎn)T工知道如何發(fā)現(xiàn)騙局

網(wǎng)絡(luò)釣魚(yú)攻擊如今仍然存在并且十分有效。實(shí)際上，很多人并不擅長(zhǎng)發(fā)現(xiàn)虛假電子郵件、短信和類似威脅。正如Red Hat公司首席安全架構(gòu)師Mike Bursell最近指出的那樣，這就是為什么釣魚(yú)攻擊可能發(fā)生在任何人身上的原因。

Chabra表示，人們并不擅長(zhǎng)發(fā)現(xiàn)更加狡猾的電子郵件，因此需要采取相應(yīng)的行動(dòng)。

Chabra建議說(shuō)：“員工需要確保實(shí)施電子郵件安全控制措施，以阻止網(wǎng)絡(luò)釣魚(yú)攻擊，并檢測(cè)和隔離惡意軟件威脅。”

甚至安全工具(如安全電子郵件網(wǎng)關(guān))也可能會(huì)出錯(cuò)。因此，現(xiàn)在不是放棄認(rèn)知計(jì)劃以及其他形式的教育和溝通的時(shí)候。組織確保有一個(gè)雙向的權(quán)威渠道供員工報(bào)告可疑消息和鏈接等。

誤解6：遠(yuǎn)程工作只是一個(gè)短期行為

人們希望遠(yuǎn)程工作只是一個(gè)短期行為，但是從安全的角度來(lái)看，這種想法是錯(cuò)誤的。

Information Security Forum總經(jīng)理Steve Durbin表示，轉(zhuǎn)向遠(yuǎn)程工作很可能會(huì)對(duì)許多組織產(chǎn)生持久的影響。他認(rèn)為，在家工作可能成為一種“新的業(yè)務(wù)常態(tài)”。

Durbin認(rèn)為，從安全的角度來(lái)看，現(xiàn)在組織的員工正處于三個(gè)發(fā)展的階段。第一階段的重點(diǎn)是技術(shù)：讓員工隊(duì)伍在家遠(yuǎn)程工作，并使用在家中完成工作所需的工具運(yùn)行。第二階段是，網(wǎng)絡(luò)攻擊者可能通過(guò)在家工作的員工的操作破壞組織業(yè)務(wù)的安全性。

Durbin說(shuō)：“我們將會(huì)看到針對(duì)組織的威脅，遠(yuǎn)程工作者被視為可能是安全鏈中最薄弱的環(huán)節(jié)，并不一定是他們?cè)L問(wèn)公司界面的方式，而是通過(guò)第三方訪問(wèn)途徑，他們將不可避免地遇到這種威脅保持開(kāi)放以履行其職責(zé)。”

從Zoom安全到有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)攻擊等等，上述大多數(shù)問(wèn)題都屬于第一階段，第二階段或兩者兼有。而它們肯定是相關(guān)的。

此外，組織的員工還可能處于第三階段，IT領(lǐng)導(dǎo)者和安全專家需要注意這一點(diǎn)：自滿。

Durbin說(shuō)，“這將導(dǎo)致員工警惕性降低，需要通過(guò)增加壓力和網(wǎng)絡(luò)焦慮來(lái)克服，坦率地說(shuō)，當(dāng)正常的工作和生活建立在社交互動(dòng)的基礎(chǔ)上時(shí)，遠(yuǎn)程工作就成為一種無(wú)聊的行為。我最擔(dān)心的是遠(yuǎn)程工作的員工何時(shí)進(jìn)入第三階段，因?yàn)檫h(yuǎn)程團(tuán)隊(duì)的負(fù)責(zé)人和管理者不太可能在這些跡象出現(xiàn)之前識(shí)別出來(lái)。”